yum install audit
yum install strace
systemctl enable --now auditd
# Удаление auditd
/sbin/service auditd stop
systemctl disable auditd
systemctl status auditd
yum remove audit
systemctl daemon-reload
rm -rf /var/log/audit/*
# Правила аудита
auditctl -a always,exit -F arch=b64 -S kill -k apache_kill
auditctl -a always,exit -F arch=b64 -S execve -F path=/bin/systemctl -k apache_stop
auditctl -a always,exit -F arch=b64 -S kill -F a1=15 -k httpd_sigterm
auditctl -a always,exit -F arch=b64 -S kill -F a1=28 -k httpd_sigwinch
auditctl -a always,exit -F arch=b64 -S execve -F path=/bin/systemctl -k httpd_systemctl
auditctl -a always,exit -F arch=b64 -S kill -k httpd_sigwinch
# Поиск в данных аудита
ausearch --start today --checkpoint apache_watch_start
ausearch -k apache_kill
ausearch -k apache_stop
ausearch -k httpd_systemctl
ausearch -k httpd_sigterm
ausearch -k httpd_sigwinch
# Сбросить правила сбора
auditctl -D
# Подключиться к процессу по имени
strace -fp $(pgrep -o httpd)
# Можно подключиться к процессу по имени и трассировать по сигналу (SIGTERM, SIGWINCH, SIGSTOP)
strace -fp $(pgrep -o httpd) -e trace=signal
# Рубануть процесс по SIGWINCH и наблюдать в другой консоли лог, что происходит
kill -WINCH 2171
strace -fp $(pgrep -o httpd)
# Поиски кто рестартит Apache (httpd) на sy-mail
file /usr/local/psa/admin/bin/apache_control_adapter
strings /usr/local/psa/admin/sbin/httpdmng | grep kill
strace -ff -o /tmp/httpdmng.trace /usr/local/psa/admin/sbin/httpdmng --reload
grep -E 'execve|kill' /tmp/httpdmng.trace*
strings /usr/local/psa/admin/bin/apache_control_adapter | grep kill
grep -r apache_control_adapter /etc/cron* /var/spool/cron* 2>/dev/null
ps aux | grep -i watchdog